Handlungsempfehlung zur kritischen Microsoft Netlogon-Sicherheitslücke CVE-2020-1472

Die kritische Sicherheitslücke CVE-2020-1472 im Microsoft Netlogon Remote Protocol (MS-NRPC) ermöglicht es nicht-authentifizierten Angreifern, Domänen-Adminrechte zu erlangen und gefährdet somit Ihre gesamte Microsoft Windows-Infrastruktur.

Betroffen sind davon derzeit noch alle Windows Domänen-Controller, welche eine Übertragung via „Secure RPC“ noch nicht erzwungen haben.

Existiert bereits ein Patch?
Mit einem Windows-Update auf den Domänen-Controllern werden zumindest alle unterstützten Microsoft-Systeme auf „Secure RPC“ umgestellt und sind somit geschützt. Allerdings ist der anfällige Übertragungsweg damit weiterhin verfügbar und angreifbar. Dies ist notwendig, um beispielsweise veralteten Geräten oder nicht Microsoft-Systemen den Zugriff weiterhin zu ermöglichen.

Was sollte somit unternommen werden?
Zur Absicherung Ihrer Infrastruktur empfiehlt Microsoft, wie auch unsere Security-Experten, die Umsetzung folgender Schritte:

  1. Schnellstmögliche Installation der Windows-Updates auf den Domänen-Controllern
  2. Überwachung der Domänen-Controller auf Nutzung des unsicheren Übertragungsweges
  3. Auswertung der noch genutzten angreifbaren Verbindungen
  4. Umstellung der übrigen Systeme auf „Secure RPC“ (wenn möglich)
  5. Optional: Aktivierung von Ausnahmen für Systeme, die Secure RPC nicht unterstützen (jedoch nicht empfohlen)
  6. Erzwingen der Nutzung von „Secure RPC“ per Gruppenrichtlinie

Da im Februar 2021 ein weiteres Windows-Update veröffentlicht wird, welches die Nutzung von Secure RPC erzwingt, ist es unbedingt notwendig diesen Aktionsplan umzusetzen. Somit vermeiden Sie mögliche Ausfälle, die durch dieses Update verursacht werden könnten.

Weitere Informationen können der zugehörigen Microsoft Security Advisory entnommen werden.

Bitte kontaktieren Sie zur Umsetzung unseren Support per Mail (support@k-is.com) oder telefonisch (Deutschland: +49 271 31370-30 / +49 6761 9321-55 | Schweiz: +41-55-536-1020) und vereinbaren einen zeitnahen Termin. Der Aufwand ist immer individuell abhängig von Ihrer Infrastruktur.